Kamis, 27 Oktober 2011

Mengapa Harus 'Reset Password'?

Kamis, Oktober 27, 2011  alkaaf  3 comments

Bila malam itu anda diberitahu bila anda mendapat sebuah kiriman dari social network yang berisi tugas yang harus selesai besok juga (deadline). Anda membuka akun jejaring sosial anda namun yang terjadi adalah Anda melupakan password dari akun email tersebut. Langkah selanjutnya adalah anda mengklik "lupa password"

sebenarnya saya buat artikel ini cuman melampiaskan rasa pusing karena :
  • Buku laporan nggak ada tanda tangannya, orangnya lagi dinas
  • Tugas sekolah belum pada selesai
  • Maunya di tanda tanganini orang lain, tapi nggak ada orang lain
  • Pusing mikir gimana decrypt md5
  • Pusing gimana cara kerja reset password

sepertinya artikel ini mungkin nggak level bahkan sudah basi bagi yang sudah advanced di bidang hacking atau kripto. namun saya ingin membagikan spekulasi ini untuk anda.

selama ini saya bergelut memahami apa itu MD5. bahwa MD5 adalah hash, bukan enkripsi, bukan encoding. hash merupakan pembuatan banyak data menjadi lebih kecil, biasaya dipakai untuk mengecek integritas/keaslian file. namun saat ini MD5 sering digunakan untuk hashing password karena kemampuannya yaitu "irreversible" mangapa? lihat postingan saya disini. sesuai judul di atas, Mengapa harus reset password?

ini jawabannya:

Plain text ------1------- > MD5 Function > --------2--------- MD5 Hash

tanda > merupakan sifat algoritma yang tidak bisa mengubah MD5 menjadi plain text kembali.

terus apakah yang membuat saya bingung? ini ceritanya :

Iseng iseng saya merubah password lewat mysql yang menurut saya Menggunakan Hash MD5. entah apa password sebelumnya, saya ganti menjadi "kecoangesot" yang memiliki MD5 sekian...

saya mecoba untuk login dengan password baru saya tadi. dan hasilnya : BISA.

inilah yang membuat saya bingung. saya telah mengganti hashnya dan tetap saja server tersebut dapat membaca MD5 saya. apakah server tersebut mentranslasikan hash saya ke plain text? kalau bisa bagaimana caranya? Rainbow table? namun server tersebut tidak memiliki ukuran sebesar rainbow table. begitulah pertanyaan demi pertanyaan menghapiri. Ternyata jawabannya sepeleeeeeee bangettt

saya memikirkan spekulasi di atas dimana verifikasi (pengecekan apakah password sama atau tidak) terdapat pada point 1 (lihat gambar). jadi MD5 di konversi ke plain text kemudian dicocokkan. :ngakak :ngakak :ngakak .

konyol banget yah... hehe... padahal yang benar adalah verifikasi terletak pada point ke 2. yaitu plain text di konversi ke MD5 kemudian MD5 yang plain text itu disamakan dengan MD5 yang ada di database. hehe... aku sedikit malu posting ini :malu

lalu apa hubungannya dengan reset password? betul... karena sang administrator tidak bisa mengembalikan password anda yang anda punya, dia membuat password pengganti yang hashnya disimpan dan password nantinya dikirim ke anda.

spele banget kan?


beneran... saya memnyadari ini baru sekarang setelah mengoprek oprek source code sebuah webshell (b374k). hehe

sekian dan terimakasih...

Read More

Senin, 24 Oktober 2011

My Dummy site

Senin, Oktober 24, 2011  alkaaf  No comments

karena rasa penasaran saya kepada pemrograman php, iseng iseng saya membuat sebuah situs yang saya gunakan sebagai dummy. sebenernya saya juga bisa menggunakan linux atau xammp sebagai dummy, namun sengaja saja onlinekan agar kita dapat belajar mengenai php bersama disana. hehe...

alamatnya cukup aneh loh. alasanya saya memilih hosting yang lumayan juga dari indonesia agar akses internet bisa cepat. pengalaman saya memilih hosting di webbeo dan 000webhost harus nunggu 5 menit baru bisa loading sempurna. fitur fiturnya cukup memuaskan juga untuk level freehosting. meliputi:
  • 10 GB Diskspace
  • 100 GB Bandwidth
  • unlimited domain, parked domain, all about domain
  • dan masih banyak lagi...

sebagai rasa terimakasih deh... saya cantumkan alamat hostingnya : gratis-hosting.tk

nah... alamat dummy site saya ada di menu di atas... happy surfing....

Read More

Jumat, 21 Oktober 2011

Antara HTML dan BASE64

Jumat, Oktober 21, 2011  alkaaf  No comments

"Sebuah ide gila muncul dari penemuan yang tidak terkira"

kata kata itulah yang mengerubungi pikiran saya saat ini. mengapa? suatu ide gila bila kita dapat menyimpan file pada blogger (soalnya blogger kan cuman buat artikel). keanehan ini saya pelajari ketika saya sering (karena males) memasukkan gambar ke blogger dengan cara copy paste. bagi yang jarang menengok ke tab HTML ketika kita ingin posting, pasti tidak menyadari ini.

ketika saya copy paste sebuah gambar printer ke dalam posting saya pada tab COMPOSE dan kemudian saya lihat scriptnya, bukan tag <img src="(alamat)"> yang muncul. namun sebuah kode enkripsi, sebuah enkripsi base64. saya kaget (tau nggak yang buat saya kaget? lihat aja di akhir posting :cendol ).

kira kira, seperti ini kodenya.

<img alt="" src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABQAAAAUCAIAAAAC
64paAAAABGdBTUEAAK/INwWK6QAAABl0RVh0U29mdHdhcmUAQWRvYmUgSW1hZ2VSZWFkeXHJZTwAAAG
qSURBVHjapFTNboJAEBZEDURjrD5CvRp690iPPoDp2b5HfQJTbx68NT5EPfkEphykifFS8VD8CUSxER
b6yTYrBaL9mcNkdphvZr7ZWTjf91N/FSF8kGX5ImA8HieDI9/iEskuxCMsy3Ich+M45gE1nudLpdK5t
mkcwJ7nRfzIdRm8CyQRfDgcLoANw7BtG3HhtilY1/UEsKIoLHA0Gm2323hl0CkWizBuFYV6nofDI5gh
gen3+/l8Pj5FVEZH3velOIKvyuW7ZvNX6/E0GJw4v83n0L1e77paJYQkAtLp9HQ6vW+1ogPTFwvoF1W
dTCYkRBhU2eRw1a7r0sgTGK7NZkPPjuvGR8UmAk0j3SDsCMY+fez3MOr1eqVSOUPVtCwaCcip8rthwL
iR5cdud7VagXYul5MkaTabFQoF1Mxms/A8tNuvmsba+QKDGBYLiVVVxXEfpAcAWXDt0HAihUeIaZqSK
KaCQXCMEl5Mp9Op1Wrr9ZoEkslk4Mf1iqIIGxnRRaPRYC+PD1PCN03T/EDokJfLJWyUFQQBNaM7G678
ww1hlbn//IY+BRgA/6IIBzOGqZwAAAAASUVORK5CYII=" />

kode di atas adalah sebuah image. nggak percaya? copy aja terus masukin ke file html, dan buka lewat browser. lihat... apa jadinya? saya baru tahu kalau html juga support base64. nah... yang membuat saya kaget adalah...

base64 memiliki kemampuan untuk mengkonversi apasaja kedalam base64. gimana kalau itu sebuah file executable, arsip (rar, zip), kemudian kita encode ke base64 dan kita pasangkan hasil coding nya tadi kedalam blog kita, jadi kita mampu membuat sebuah file hosting sendiri tanpa harus ke hosting hosting lain.

namun... yang namanya parsing teks hasil dari coding itu juga pasti buaaaanyak. lihat saja gambar tux+samba pada Set up samba ini, lihat page sourcenya. pasti takkan ada alamat sebuah gambar disana, melainkan sebuah teks yang panjaaaaaang banget. Pasti loadingnya agak lama. apalagi file ukuran di atas 10MB pasti browsernya sampe nge hang hang gitu. :ngakak

okelah... pasti banyak yang pengen cobain. saya kasih alamat nih buat konversi file apasaja ke base 64 klik here disitu tulisannya image, tapi saya coba dengan sebuah file pdf pun bisa.

bonus. link ini berisi file pdf yang saya konversikan ke base64. bagi yang ingin coba, silahkan klik

rename ekstensinya menjadi pdf. dan lihat hasilnya. (sengaja tidak saya tulis kodenya karena puanjang bangett)

nb: beberapa browser tidak mensupport untuk download dari base64, saya sarankan memakai google chrome yang dapat membuka sebuah file pdf

Read More

Ads